book

初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る

Name: 初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る
ISBN: 9784873119298

by Monnappa K A, 石川朝久, 北原憲, 中津留勇

December 2020

Beginner to intermediate

448 pages

7h 48m

Japanese

O'Reilly Japan, Inc.

Read now

Unlock full access

表紙
はじめに
　本書の想定読者　本書の構成　この本を最大限に活用するために　カラー画像のダウンロード　本書の表記法　問い合わせ先　謝辞
1章　ようこそ、マルウェア解析の世界へ
　1.1　マルウェアの定義　1.2　マルウェア解析とは？　1.3　なぜマルウェア解析が必要なのか？　1.4　マルウェア解析の種類　1.5　解析環境の準備　　1.5.1　解析環境の要件　　1.5.2　解析環境の構成について　　1.5.3　Linux VMのセットアップと設定　　1.5.4　Windows VMのセットアップと設定　1.6　マルウェアの入手先　1.7　まとめ
2章　表層解析
　2.1　ファイル形式の判別　　2.1.1　手動によるファイル形式の判別　　2.1.2　ツールによるファイル形式の判別　　2.1.3　Pythonによるファイル形式の判別　2.2　マルウェアのフィンガープリント　　2.2.1　ツールによるハッシュ値生成　　2.2.2　Pythonによるハッシュ値生成　2.3　複数のマルウェア対策スキャン　　2.3.1 VirusTotalを利用した分析対象ファイルのスキャン　　2.3.2　VirusTotal Public APIを利用したハッシュ値の問い合わせ　2.4　文字列の抽出　　2.4.1　ツールによる文字列抽出　　2.4.2　FLOSSによる難読化文字列のデコード　2.5　ファイル難読化の判別　　2.5.1　パッカー・クリプター　　2.5.2　Exeinfo PEを利用したファイル難読化の検出　2.6　PEヘッダ情報の分析　　2.6.1　ファイルの依存関係とインポート関数の調査　　2.6.2　エクスポート関数の調査　　2.6.3　PEセクションテーブルとセクションの調査　　2.6.4　コンパイル時刻の分析　　2.6.5　PEリソースの分析　2.7　マルウェアの比較と分類　　2.7.1　ファジーハッシュを利用したマルウェアの分類　　2.7.2　インポートハッシュを利用したマルウェアの分類　　2.7.3　セクションハッシュを利用したマルウェアの分類　　2.7.4　YARAによるマルウェアの分類　2.8　まとめ
3章　動的解析
　3.1　解析環境の概要　3.2　システムとネットワークの監視　3.3　動的解析ツール（監視ツール）　　3.3.1　Process Hackerによるプロセス調査　　3.3.2　Process Monitorによるシステム挙動の監視　　3.3.3　Noribenによるシステム挙動の監視　　3.3.4　Wiresharkによるネットワークトラフィックの監視　　3.3.5　INetSimを利用したサービスの模倣　3.4　動的解析の方法論　3.5　実践編：実行ファイル型マルウェアの分析　　3.5.1　検体の表層解析　　3.5.2　検体の動的解析　3.6　DLLの解析　　3.6.1　攻撃者がDLLを悪用する理由　　3.6.2　rundll32.exeを利用したDLL解析　　3.6.3　プロセスチェックによるDLL分析　3.7　まとめ
4章　アセンブリ言語と逆アセンブル入門
　4.1　コンピュータの基礎　　4.1.1　メモリ　　4.1.2　CPU　　4.1.3　プログラムの基礎　4.2　CPUレジスタ　　4.2.1　汎用レジスタ　　4.2.2　命令ポインタ（Instruction Pointer、EIP）　　4.2.3　EFLAGSレジスタ　4.3　データ移動命令　　4.3.1　レジスタへの定数の格納　　4.3.2　レジスタからレジスタへの値の移動　　4.3.3　メモリからレジスタへの値の移動　　4.3.4　レジスタからメモリへの値の移動　　4.3.5　アセンブリコード練習問題（問題編）　　4.3.6　アセンブリコード練習問題（解答編）　4.4　算術演算　　4.4.1　アセンブリコード練習問題（問題編）　　4.4.2　アセンブリコード練習問題（解答編）　4.5　ビット演算　4.6　分岐と条件　　4.6.1　無条件ジャンプ（Unconditional Jumps）　　4.6.2　条件付きジャンプ（Conditional Jumps）　　4.6.3　If文　　4.6.4　if-else文　　4.6.5　if-elseif-else文　　4.6.6　アセンブリコード練習問題（問題編）　　4.6.7　アセンブリコード練習問題（解答編）　4.7　ループ　　4.7.1　アセンブリコード練習問題（問題編）　　4.7.2　アセンブリコード練習問題（解答編）　4.8　関数　　4.8.1　スタック　　4.8.2　関数の呼び出し　　4.8.3　関数の終了　　4.8.4　関数パラメータと戻り値　4.9　配列と文字列　　4.9.1　アセンブリコード練習問題（問題編）　　4.9.2　アセンブリコード練習問題（解答編）　　4.9.3　文字列　4.10　構造体　4.11　x64アーキテクチャ　　4.11.1　64ビットWindowsにおける32ビット実行ファイルの分析　4.12　さらなる学習のために　4.13　まとめ
5章　IDAによる逆アセンブル
　5.1　コード解析ツール　5.2　IDAによる静的コード解析（逆アセンブル）　　5.2.1　IDAにおけるファイルの読み込み　　5.2.2　IDAの表示画面　　5.2.3　IDAによる逆アセンブル分析　5.3　Windows APIの逆アセンブル　　5.3.1　Windows APIへの理解　　5.3.2　32ビットAPIと64ビットAPIの比較　5.4　IDAによるプログラムへのパッチ適用　　5.4.1　実行ファイルへのパッチ適用　　5.4.2　命令コードへのパッチ適用　5.5　IDAスクリプトとプラグイン　　5.5.1　IDAスクリプトの実行　　5.5.2　IDAPython　　5.5.3　IDAプラグイン　5.6　まとめ
6章　マルウェアのデバッグ
　6.1　デバッガの一般的概念について　　6.1.1　プロセスの起動とアタッチ　　6.1.2　プロセスの実行制御　　6.1.3　ブレークポイントを利用したプログラム制御　　6.1.4　プログラム実行のトレース　6.2　x64dbgによる実行ファイルのデバッグ　　6.2.1　x64dbgによる新しいプロセスの起動　　6.2.2　x64dbgによる既存プロセスへのアタッチ　　6.2.3　x64dbgデバッガインタフェース　　6.2.4　x64dbgによるプロセスの実行制御　　6.2.5　x64dbgにおけるブレークポイント設定　　6.2.6　32ビットマルウェアに対するデバッグ　　6.2.7　64ビットマルウェアに対するデバッグ　　6.2.8　x64dbgによる悪性DLLのデバッグ　　6.2.9　x64dbgにおけるトレース実行　　6.2.10　x64dbgによるプログラムへのパッチ適用　6.3　IDAによる実行ファイルのデバッグ　　6.3.1　IDAにおける新しいプロセスの起動　　6.3.2　IDAを利用した既存プロセスへのアタッチ　　6.3.3　IDA Debuggerのインタフェース　　6.3.4　IDAを利用したプロセス実行の制御　　6.3.5　IDAにおけるブレークポイントの設定　　6.3.6　IDAを利用したマルウェアのデバッグ　　6.3.7　IDAを利用した悪性DLLのデバッグ　　6.3.8　IDAを利用した実行トレース　　6.3.9　IDAPythonを利用したデバッガスクリプト　6.4　.NETアプリケーションのデバッグ技法　6.5　まとめ
7章　マルウェアの機能と持続性
　7.1　マルウェアの機能　　7.1.1　ダウンローダー　　7.1.2　ドロッパー　　7.1.3　キーロガー　　7.1.4　リムーバブルメディアを介したマルウェアの複製　　7.1.5　マルウェアのC2通信　　7.1.6　PowerShellの実行　7.2　マルウェアの持続性メカニズム　　7.2.1　RUNレジストリキー　　7.2.2　スケジュールタスク　　7.2.3　スタートアップフォルダ　　7.2.4　Winlogonレジストリ　　7.2.5　イメージファイル実行オプション　　7.2.6　アクセシビリティプログラム　　7.2.7　AppInit_DLLs　　7.2.8　DLL検索順序の悪用（DLL Search Order Hijacking）　　7.2.9　COMハイジャッキング（COM hijacking）　　7.2.10　サービス　7.3　まとめ
8章　コードインジェクションとフッキング
　8.1　仮想メモリ　　8.1.1　プロセスメモリの構成要素（ユーザ空間）　　8.1.2　カーネルメモリの構成要素（カーネル空間）　8.2　ユーザモードとカーネルモード　　8.2.1　Windows API呼び出しフロー　8.3　コードインジェクション技術　　8.3.1　リモートDLLインジェクション　　8.3.2　APCインジェクション　　8.3.3　SetWindowsHookEx()を悪用したDLLインジェクション　　8.3.4　アプリケーション互換性Shimを悪用したDLLインジェクション　　8.3.5　リモート実行ファイル/シェルコードインジェクション　　8.3.6　プロセスハロウイング　8.4　フッキング技術　　8.4.1　IATフッキング　　8.4.2　インラインフッキング（インラインパッチ）　　8.4.3　Shimを利用したインメモリパッチング　8.5　追加リソース　8.6　まとめ

9章　難読化手法
　9.1　単純なエンコード　　9.1.1　シーザー暗号　　9.1.2　BASE64エンコーディング　　9.1.3　XORエンコーディング　9.2　マルウェアの暗号化　　9.2.1　Signsrchを利用した暗号シグニチャの識別　　9.2.2　FindCrypt2を利用した暗号定数の検出　　9.2.3　YARAを利用した暗号シグニチャの検出　　9.2.4　Pythonによる復号　9.3　カスタムエンコード/暗号化　9.4　マルウェアのアンパック技法　　9.4.1　手動によるアンパッキング　　9.4.2　自動化されたアンパッキング　9.5　まとめ
10章　メモリフォレンジックを利用したマルウェアハンティング
　10.1　メモリフォレンジックの手順　10.2　メモリイメージの取得　　10.2.1　DumpItを利用したメモリイメージ取得　10.3　Volatilityの概要　　10.3.1　Volatilityのインストール　　10.3.2　Volatilityの利用　10.4　プロセスの列挙　　10.4.1　プロセスの概要　　10.4.2　psscanを利用したプロセス列挙　　10.4.3　プロセスの関係性分析　　10.4.4　psxviewを利用したプロセス列挙　10.5　プロセスハンドルの列挙　10.6　DLLの列挙　　10.6.1　ldrmodulesを利用した隠しDLLの検出　10.7　実行ファイルとDLLのダンプ　10.8　ネットワーク接続とソケットの列挙　10.9　レジストリの検査　10.10　サービスの調査　10.11　コマンド履歴の抽出　10.12　まとめ
11章　メモリフォレンジックを利用した高度なマルウェア検出
　11.1　コードインジェクションの検出　　11.1.1　VAD情報の取得　　11.1.2　VADを利用した挿入コードの検出　　11.1.3　プロセスメモリ領域のダンプ　　11.1.4　malfindを利用した挿入コードの検出　11.2　プロセスハロウイング攻撃の調査　　11.2.1　プロセスハロウイング攻撃のステップ　　11.2.2　プロセスハロウイング攻撃の検出　　11.2.3　プロセスハロウイング攻撃の種類　11.3　APIフックの検出　11.4　カーネルモードルートキット　11.5　カーネルモジュールの列挙　　11.5.1　driverscanを利用したカーネルモジュールの列挙　11.6　I/O処理　　11.6.1　デバイスドライバの役割　　11.6.2　I/Oマネージャの役割　　11.6.3　デバイスドライバとの通信　　11.6.4　複数層ドライバへのI/Oリクエスト　11.7　デバイスツリーの表示　11.8　カーネル空間フッキングの検出　　11.8.1　SSDTフッキングの検出　　11.8.2　IDTフッキングの検出　　11.8.3　インラインカーネルフックの特定　　11.8.4　IRP関数フックの検出　11.9　カーネルコールバックとタイマー　11.10　まとめ
訳者あとがき
技術監修者あとがき
奥付

Content preview from 初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る

訳者あとがき

　攻撃の高度化に伴い、マルウェア解析の必要性は増しています。特に、特定の企業・業界に狙いを定めたマルウェアに遭遇した場合、既存のセキュリティ機器のシグニチャでは対応が間に合わないケースもあり得るでしょう。その場合、攻撃者が被害端末などに残したマルウェアは貴重な情報源となり得ます。マルウェアを解析することで、利用している攻撃手法、IOC、攻撃者の意図など様々な情報を引き出し、防御やインシデント対応に役立てていく必要があります。

　一方、マルウェア解析と聞くと、身構える人も多いでしょう。独学で実施するには敷居もリスクも高く、企業や研究機関に所属していないと本格的に学ぶことは難しいというのが一般的なイメージだと思います。本書は、マルウェア解析に初めて携わる人にもわかりやすく、マルウェア解析の全体像を説明した技術書です。本書は、防御側（Blue Team）の技術的態勢向上に役立つのはもちろんのこと、ペネトレーションテストやTLPT（脅威ベースのペネトレーションテスト）に携わる攻撃側（Red Team）担当者にも、防御側の技術をより深く理解するのに役立ちます。

　訳者が初めてマルウェア解析の世界に触れたのは、「セキュリティ・キャンプ2007」でした。当時と比較して、利用されるツールや攻撃手法こそ変化しているものの、本質的な解析手法・考え方は大きく変化していないように思います。そのため、一度理解をすれば、他の分野にも応用が利く有益なスキルとなり、セキュリティ人材としてのキャリアを積む上でも絶対に無駄にならない技術です。海外ではマルウェア解析の学習リソースは多数存在しますが、残念ながら、日本では体系的かつ網羅的に学ぶことができる書籍は少ないのが実情です。そんな中、豊富な経験を持ち、Black ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Pythonではじめる機械学習 ―scikit-learnで学ぶ特徴量エンジニアリングと機械学習の基礎

Publisher Resources

ISBN: 9784873119298Other

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

初めてのマルウェア解析 ―Windowsマルウェアを解析するための概念、ツール、テクニックを探る

by Monnappa K A, 石川朝久, 北原憲, 中津留勇

訳者あとがき

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.